SSL-сертификаты

SSL - это протокол, помогающий обеспечить безопасное подключение и соединение между клиентами. Используется при TLS\SSL стеке соединений, изначально создан для безопасного соединения https:// разработчиками браузера Netscape.

Что такое цифровой сертификат (SSL-сертификат)?

Это набор символов, которые генерирует специализированный центр по сертификации в зависимости от названия домена, ваших данных. Также к нему прилагается ключ, который расшифровывается на сервере.

Используется при "рукопожатиях" - схеме проверки подлинности.

Представьте, что вас с человеком знакомит ваш общий друг. Вы знаете его, собеседник знает его. Примерно также работает и схема защищённого соединения.

Если по-простому, то сертификат - это как нотариально заверенная бумажка о том, что вы - это действительно вы. На неё и смотрит "общий друг".

Зачем нужен HTTPS и SSL?

Вопрос для нас, как компании, занимающейся продвижением и обслуживанием сайтов, актуален хотя бы потому, что гугл объявил о положительном влиянии https на ранжирование, а это небольшой, но всё же плюс.

Статья от Google: статья про ранжирование от Google

Если вкратце, то SSL требует подтверждение некоторой информации о вас, а сертификат дополнительной проверки запрашивает крайне важную информацию в плане доверия вам. И её не способны компании-однодневки предоставить. Поскольку клиент для Google - лицо, определяющее стратегию компании, был внесён пункт о повышенном ранжировании защищённого соединения.

Также при https соединении возможна передача информации об источнике перехода даже в том случае, если переходили с https.

Как было раньше?

Раньше была возможна передача информация о переходе http -> http и http -> https, переходы https -> http считались прямыми. Переходы с https на https читаются как переходы по ссылкам на сайт, а не прямые, что позволит лучше оценить вашу рекламную кампанию и переходы с соц.сетей.

Также TLS\SSL используется с электронной коммерцией, с конфиденциальной информацией, гарантируют, что вы оставляете свои данные действительно тем, кому собирались оставить.

Какие существуют сертификаты проверки?

Существует сертификация нескольких классов, они отличаются по времени выдачи и уровню надёжности владельца.

DV (domain validation) - уровень подтверждения домена.

Это базовый сертификат, он подтверждает, что этот домен - это действительно ваш домен. Он делается автоматически, но не исключено, что будет делаться выборочная проверка (что удлинит процесс получения).

Особенности и преимущества:

  • Даётся на год и больше
  • Дёшев (или вовсе бесплатен)
  • Его достаточно для создания безопасного соединения
  • Доступен как юридическим, так и физическим лицам
  • Быстро устанавливается и его очень быстро получить (чаще всего не более 4ч)
  • Оставляет за собой значок замка, что чуть-чуть подбадривает пользователей

Недостатки данного класса:

  • Выдаётся для одного домена и одного его поддомена
  • Не годится для e-commerce

OV (organization validation) - уровень подтверждения организации.

Для него требуется не только подтверждение владения доменом, но и подтверждение организации. Как уже говорилось - это помогает защититься от "компаний-однодневок". Проверка выполняется вручную, потому это требует большего времени, чем получение сертификата о подтверждении домена.

У Yandex и Google, а также множества других крупных компаний сертификаты класса OV.

Особенности и преимущества:

  • Даётся на год и больше
  • Поддерживает e-commerce
  • Поддерживает https
  • Быстро устанавливается
  • Оставляет за собой значок замка, что чуть-чуть подбадривает пользователей
  • Является золотой серединой, которая поддерживает и e-commerce, и wildcard, и подтверждает компанию, и стоит не так дорого.

Недостатки:

  • Повышенная стоимость (для 1 домена и поддомена - от 4000р, wildcard - в среднем, в четыре раза дороже)
  • Проверка подлинности ведётся несколько дней (около 3х), для неё требуется два документа из списка:
    • Регистрация Вашей организации (Налоговая служба, Министерство торговли, Handelsregisterauszug и т.д.) или
    • Выдержки из Вашей последней налоговой декларации и
    • Подтверждение о владельцах/акционерах, директорах или президенте и
    • Разрешение запрашивать свидетельства от имени организации, подписанное директором или президентом.

Extended Verification - уровень подтверждения домена, организации и подтверждение благонадёжности.

Самый понтовый сертификат, который можно получить. Многие фирмы берут либо OV, либо EV (reg.ru, thawte.com, twitter.com)

Особенности и преимущества:

  • Даётся на год и больше
  • Невероятно понтовая зелёная надпись с организацией в строке адреса
  • https
  • e-commerce
  • Быстро устанавливается
  • .

Недостатки:

  • Огромная цена. Для одного домена и поддомена цена стоит в два раза больше, чем wildcard OV (~10000)
  • Не распространяется больше, чем на один поддомен (будет обычное http-соединение у остальных)
  • Большой список документов для предъявления (точнее вы можете узнать у дистрибьютора ssl-сертификатов)
  • Для получения необходим как минимум OV уже полученный.

Мультисертификат и wildcard

существуют мультисертификаты и wildcard-сертификаты.

Мультисертификаты - они позволяют на несколько различных доменов установить https. Правила соответствуют классу.

Wildcard - предоставляются на один домен, но могут содержать любое количество поддоменов. Доступны только для DV и OV

Сколько стоит SSL-сертификат

Цены сложно сказать однозначно, так как разные провайдеры предоставляют огромный разброс по ним.

Например, один из самых дешёвых вариантов предоставляет такие суммы: 0, 4200р, 14 200р за DV, OV, EV. Один из самых дорогих: 8850, 12400, 32000 за DV, OV, EV.
Также они имеют партнёрские системы, гораздо выгоднее купить у партнёра, чем напрямую, так как партнёры закупают оптом и чаще всего предоставляют большие скидки.

Разница между ними в уровне поддержки - в первом случае - сам плавай. Во втором - полный пакет всего, что нужно и не нужно. Скажем, SSL для поддомена OWA - для Outlook (входит в поставку DV, OV и EV).

Вообще, у reg.ru есть неплохая сравнительная таблица.

Надо ли мне подключать https на сайт?

Раздел в стадии написания

Как поставить SSL-сертификаты на сервер?

Я решил попробовать поставить сертификат "по горячим следам", сразу после конференции "Формула сайта" ссылка. И это оказалось не так сложно.

У меня вышло несколько шагов:

  • Фирма-регистратор запрашивает все необходимые документы
  • После проверки документов, выдаёт ключ.
  • Этот ключ ставится на сервер и обрабатывается командой openssl
  • После этого им требуется время на создание сертификата (возможно, они его могут выдать вместе с ключом, но в моём случае был сначала ключ, потом сертификат)
  • После обработки они высылают сертификат к нам.
  • Надо совместить в один файл сертификат для нас и уникальную подпись регистратора SSL (хотя некоторые регистраторы могут наверняка и самостоятельно это сделать)
  • Затем в конфиге NginX необходимо поставить на прослушку порт 443, указать ему с помощью определённых директив сертификаты.
  • Сложность автоматизации заключается в том, что ISP не знает названия сертификатов, выданных для каждого домена лично. Потому необходимо будет немного помучить плагин автосоздания конфигов.

Более подробные сведения опишу позднее

Вопросы можно задавать в комментариях

Использовались материалы:

Комментарии (2)

  1. Игорь
    Игорь 20.10.2016 Ответить
    5+ за статью!
    От себя добавлю, переход на ssl важен! И делать это безусловно придется!
    Если кому дорого покупать, ставьте хотя бы let's encrypt
  2. Тоня 30.11.2017 Ответить
    Согласна, меня на блогах спасает Let's Encrypt, он у меня в панели ISPmanager обновляется автоматически, даже делать ничего не приходится.
    кстати, в статье есть ссылка на серты от Symantec ( Symantec, RapidSSL, Thawte, GeoTrust) - к ним Google утратит доверие.
    Нужно перевыпускать после 1 декабря 2017, тут есть подробная инфа http://www.cmsmagazine.ru/library/items/internet-marketing/google-will-stop-trusting/

Оставить комментарий